昨年のランサムウェアの大きな波に続いて、ハッカーやサイバー犯罪者がコンピュータ システム、デバイス、ネットワークにアクセスするために使用するまったく新しい手口に関する報告が増えています。
こうした手口の多くは、アプリケーションやオペレーティング システムの既存の脆弱性を悪用するものですが、犯罪者は、技術的な手順とソーシャル エンジニアリングを組み合わせたまったく新しいアプローチも開発して目的を達成しています。
ご存知ない方のために簡単にまとめると、ソーシャル エンジニアリングとは、悪意のある人物が、親切心、信頼、恐怖、尊敬などを利用してあなたを操作し、何かを実行させようとすることです。
さらに読む:ソーシャルエンジニアリングの重要な兆候
ソーシャル エンジニアリングの例としては、上司を装って海外の口座への多額の送金指示を記載した仕事用メール、お金に困っている親戚を装った人物からの WhatsApp メッセージ、銀行を装ってリンクをクリックするように要求し、クリックしないと恐ろしい結末を迎えるフィッシング メールなどがあります。
ここでは、知っておくべき、犯罪者が使用する最新の詐欺やテクニック、そして自分自身を守る方法をいくつか紹介します。
1. ゼロフォントトリック
HTMLコードを使ってメール本文のフォントサイズをゼロに設定することも可能です。こうすることで、テキストは表示されますが、目には見えなくなります。
数年前、犯罪者はこのトリックを使用して、電子メールプロバイダーやメールプログラムのスパムおよびウイルス検出メカニズムを欺くために、メッセージに目に見えないテキストを挿入しました。
彼らはこの手法を使って、無害な単語やフレーズを電子メールの本文に挿入し、メッセージが安全であるように見せかけて、電子メールプロバイダーのマルウェアフィルターを回避しました。
HTML形式のメールでは、フォントサイズを0に設定できます。対応する属性は「font-size:0」です。
IDG
昨秋、セキュリティ研究者のヤン・コプリバ氏は、ゼロフォントトリックの新たなバージョンを発見しました。ハッカーたちはこれを悪用し、Microsoft Outlookのメール表示機能を悪用してユーザーを攻撃しました。
問題は、Outlook のリストビューではゼロフォントのテキストが表示されるものの、メールのプレビューでは表示されないことです。そのため、悪意のある送信者はメッセージ内にゼロフォントのテキストを挿入しました。「ISC Advanced Threat Protection: このメッセージは脅威のスキャンが完了しました。」
「ISC」は、インターネット上の悪意ある活動を監視するSANS Institute傘下の組織であるInternet Storm Centerの略称です。マルウェアスキャンの疑いがあるとの言及により、受信者はメールを信頼できると感じ、開封して内容を信じる傾向が高まりました。
しかし、実際にはメッセージには、訪問者のアクセスデータを要求する偽の Web サイトへのリンクが含まれていました。
Outlookのリストビューに、フォントサイズが0のテキストが表示されます。このメールはマルウェアの脅威がないか既にスキャンされており、無害であると思われます。そのため、受信者には信頼できるメールと映ります。
IDG
自分を守る方法:
- 詐欺メールやメッセージを見分ける方法を学びます。
- 信頼できる送信者から送信されたと主張する電子メールであっても、偽物である可能性があることに留意してください。
- クリックする前に、すべてのリンクにマウスオーバーしてリンク先のアドレスを確認してください。そして、クリックしたとしても、どうしても必要な場合を除いてはクリックしないでください。可能であれば、手動でサイトにアクセスすることをお勧めします。
- メールが本当に特定の送信者から送信されたのか疑問がある場合は、すぐに電話をかけて確認してください。
2. 2FA/MFAの脆弱性
2要素認証(2FA)または多要素認証(MFA)は、ログイン認証情報への攻撃からユーザーを保護します。2FAを有効にすると、アカウントのハッキングがはるかに困難になります。
そのため、ハッカーは、正しい認証を証明するログイン プロセス中に作成される Cookie ファイルにアクセスしようとする傾向が高まっています。
これらのセッションCookieにより、ユーザーは一度ログインするだけで、様々なサービスに引き続きアクセスできるようになります。ユーザーがログアウトすると、セッションCookieは無効になります。
さらに詳しく: 2FAを正しく使う方法
現在、様々なマルウェアプログラムがGoogleログインプロセスの脆弱性を悪用し、期限切れのセッションCookieを再度有効化しています。これにより、マルウェアはユーザーのGoogleサービスに自由にアクセスできるようになります。
この方法は、その間にパスワードが変更された場合でも機能します。ただし、マルウェアがユーザーのコンピュータにアクセスできる必要があります。
自分を守る方法:
- マルウェア感染の仕組みを理解しましょう。疑わしいメールの添付ファイルは開かないでください。メール内のリンクはクリックしないでください。違法サイトや疑わしいサイトからアプリをダウンロードしないでください。
- 必要のないときはコンピューターをシャットダウンしてください。
- Windows およびその他のプログラムのセキュリティ パッチを直ちに適用し、ソフトウェアを常に最新の状態に保ってください。
3. 上司からのディープフェイク
ボス詐欺とは、一般的に、「ボス」が通常とは異なる口座に多額のお金を振り込むように指示するが、実際には「ボス」はハッカーであり、詐欺的なメールやテキストメッセージを送信しているというものです。
香港で新たな亜種が発見された。ハッカーはメールで被害者をビデオ会議に招待した。しかし、そこに待っていたのは実在の人物ではなく、彼の会社の同僚のディープフェイクだけだった。(ディープフェイクとは、AIによって生成された実在の人物のなりすましである。)
これらのディープフェイクは、被害者に合計2億香港ドル(約2,600万米ドル)に及ぶ15回の送金を指示していました。被害者は後に上司に話して初めて、自分が詐欺に遭ったことに気づきました。
香港警察のサイバーセキュリティ部門責任者、バロン・チャン氏は、犯人らが以前にビデオ会議のディープフェイクのために同社の従業員のビデオをダウンロードしていたと疑っている。
IDG
香港警察のサイバーセキュリティ部門は、犯罪者が会社のサーバーから実際の同僚のビデオをコピーし、それをAI支援の音声合成と組み合わせて、ビデオ会議で使用されたディープフェイクを作成したと疑っている。
自分を守る方法:
- 香港警察は、ビデオ会議中に他の参加者の身元を確認するために質問するよう勧告している。
4. AIの幻覚が現実になる
ChatGPTのようなAI支援言語モデルが幻覚(つまり、情報を捏造)しているという噂が広まっています。例えば、AIチャットボットは実際には行われていない裁判の判決文を捏造することがあります。しかし、実際には存在しないソフトウェアパッケージを幻覚的に作り出すこともできます。
あるセキュリティ研究者が、huggingface-cli パッケージを Python Package Index (PyPI) に登録しました。実際には、このパッケージは AI によって発明されたに過ぎませんでした。しかし、数週間のうちに複数の Python プロジェクトで使用されました。
IDG
イスラエルのセキュリティ研究者、バー・ラニャド氏は、AI によって作られた名前で実際のコードが公開されたら何が起こるだろうかと自問した。
彼は、ChatGPT-3.5-Turbo、ChatGPT-4、Gemini Pro、および Cohere Command にプログラミングの問題の解決を依頼し、数か月にわたって繰り返し推奨されていたものの実際には存在しないhuggingface-cliという名前のコードを特定しました。
彼はこの名前で空のPythonパッケージを作成し、オンラインに公開しました。数週間のうちに、15,000回ダウンロードされました。また、GitHubで検索したところ、huggingface-cliが複数の大企業のリポジトリに存在していることが判明しました。
Bar Lanyado の Python パッケージは、内容も影響もない無害なファイルかもしれませんが、ハッカーが同様の方法で悪意のあるコードを配布する可能性があることは想像に難くありません。
自分を守る方法:
- プログラマーは AI モデルの提案を盲目的に信頼してはならず、推奨されるダウンロードを自分で再確認する必要があります。
5. フィッシングメールによる現在の攻撃
最近のフィッシング メールの特徴は、時間的なプレッシャーを生じさせることと、「確認を開始する」や「もう一度支払いをお試しください」などのフレーズです。
IDG
詐欺師はフィッシングメールを使用して、偽の Web サイトやマルウェアに感染した Web サイトにアクセスするように誘導しようとします。
通常、住所やログイン情報の入力を求められます。その後、犯人から電話がかかってきて、PINコードやその他のセキュリティ要素を要求されます。あるいは、Netflixアカウントへのログイン情報などのアクセスデータを販売する場合もあります。
こうしたフィッシングメールの多くは、短い紹介文の下に偽のウェブサイトへ誘導するボタンが配置されているという、共通のパターンを辿っています。多くの場合、メールは脅迫や時間的なプレッシャーを巧みに利用することで、メッセージの信憑性や信憑性について考えさせないようにしています。
一般的なボタンのキャプションには次のようなものがあります。
- 「今すぐアカウントを更新」
- 「住所を更新」
- 「今すぐ確認」
- 「今すぐ勝つ」
- 「アカウント回復ページへ移動」
- 「保護された状態を維持してください」(セキュリティベンダーを装ったメールの場合)
- 「注文の詳細を表示」
- 「今すぐ有効化」
- 「もう一度支払いをしてみてください」
- 「今すぐ料金を支払う」
これらのボタンは絶対にクリックしないでください。銀行やオンライン小売業者などの信頼できる企業は、メールでログイン情報の入力を求めることは決してありません。
6. アプリとしてのプロキシサーバー
サイバー犯罪者は、制御サーバーとボットネットの IP アドレスがブラックリストに登録され、プロバイダー、企業、組織によってブロックされるという共通の問題に直面することがよくあります。
これを回避するため、データパケットをプロキシサーバー経由でリダイレクトし、実質的にそれらのデータパケットに新しいIPアドレスを割り当てます。しかし、これらの公開プロキシサーバーもブラックリストに登録されてしまいます。これは悪循環です。
しかし、彼らは今、新たな手口を使っている。それは、マルウェアを使って、何も知らないユーザーのスマートフォンやデスクトップ PC をプロキシ サーバーに変えるというものだ。
2023年5月、セキュリティ研究者はGoogle Playストアで、スマートフォンを密かにプロキシサーバーに変えるアプリを発見しました。その後、研究者たちは、これらの隠しプロキシサーバーを構成するPROXYLIBを搭載したアプリを合計28個発見しました。これらはすべて、インターネット上で暗号化された接続を提供するとされるVPNアプリでした。
GoogleはPlay Protectの保護メカニズムにプロキシマルウェアの検出ルーチンを統合し、問題のあるアプリを自動的に削除するようになりました。しかし、代替アプリストアがこれらのマルウェアに感染したアプリを引き続き提供し続けるとしても、驚かないでください。
自分を守る方法:
- このウェブページの下部に悪質なアプリのリストがあります。もしインストールしている場合は、できるだけ早く削除してください。
- アプリは Google Play ストアからのみインストールしてください。
7. フィッシングではなくクイッシング
QRコードは一見しただけではリンク先が分かりません。Microsoftを装ったこの詐欺メールでは、画像内のリンクは偽のMicrosoftログインページへと誘導しています。
IDG
フィッシングとは、メールやメッセージを送信し、悪意のあるリンクをクリックさせようとする詐欺の一種です。この手口は数年前から存在しており、メールプロバイダーはフィッシング詐欺の検知とフィルタリングの精度を高めています。
そのため、ハッカーは、QRコード経由でリンクを送信する「クイッシング」など、被害者を自分のサイトに誘い込む他の方法を模索しています。(クイッシングはQRフィッシングとも呼ばれます。)
レストランのメニューを読んだり、コンテストに参加したりするために、スマートフォンでQRコードをスキャンしたことがあるでしょう。ハッカーは、この行動を悪用してQRコードをメールに埋め込み、偽のログインページや悪意のあるページに誘導します。
昨秋、セキュリティ会社ハーモニーは、クイッシング攻撃が587パーセント増加したと報告した。
セキュリティプロバイダーのCheck Pointは、ユーザーを偽のMicrosoftログインページに誘導するクイッシング攻撃についても説明しています。この攻撃により、攻撃者はフィッシングメッセージをフィルタリングする一般的なセキュリティ対策を回避できました。
自分を守る方法:
- QRコード付きのメールを送信した相手には必ず注意し、QRコードリーダーに表示されるアドレスをよく確認してください。疑わしい場合は、迷惑なQRコードをスキャンしないでください。
この記事はドイツ語から英語に翻訳され、元々はpcwelt.deに掲載されていました。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
